【サンプルあり】ISMS（ISO27001）内部監査のチェックリストを解説

ISO/IEC27001を取得するには、定められている要求事項を満たすことが必要です。要求事項の中には内部監査の実施を求める項目があります。

しかし、内部監査を行うといっても、どのように行えば良いのかわからないという担当者の方もいるでしょう。効果的に内部監査を実施するには、チェックリストを活用することがおすすめです。

そこで、この記事ではISO27001（ISMS）内部監査におけるチェックリストについて解説します。また、チェックリストのサンプル・質問例もまとめていますので、ぜひ参考にしてください。

ISO27001（ISMS）の内部監査チェックリストを作成するメリット・デメリット

ISO27001（ISMS）内部監査でチェックリストを作成するメリット・デメリットを解説します。メリット・デメリットを理解したうえで活用することが大切です。

メリット

内部監査でチェックリストを利用する主なメリットを以下にまとめました。

• 内部監査を標準化できる
• 監査すべき項目の確認漏れを防げる
• 内部監査の質の向上や作業効率化につながる
• 内部監査を実施した証拠として活用できる

内部監査を行うのは人間であるため、どうしても内部監査員ごとの「監査スキルの差」や「評価の偏り」、「確認漏れなどのミス」が発生する可能性があります。こうした差を、チェックリストを利用することで低減し、標準化に役立てられます。

また内部監査は一度実施したら完了するわけではなく、定期的に行うことが必要です。そのため、チェックリストを記録として残して活用することにより、内部監査を繰り返す中で、より効果的に実施できるでしょう。

デメリット

内部監査でチェックリストを利用する主なデメリットを以下にまとめました。

• 内部監査が形式的になり、記載された項目以外の確認事項に気づけないリスクがある
• マネジメントシステムの有効性の判定には不十分

チェックリストの内容を埋めることに注力しすぎると、現場や担当者とのコミュニケーションが疎かになってしまい、潜在的な課題に気づけなくなる可能性があります。
ただチェックリストを埋めるだけの内部監査ではなく、さらに深堀りするような質問を行ったり、現場をよく観察したりして、柔軟に監査する姿勢が必要です。

ISO27001（ISMS）の内部監査チェックリストを作成するポイント

ISO27001（ISMS）の内部監査チェックリストを作成するポイントを解説します。

有効性・適合性をチェックできる内容にする

内部監査では、「マネジメントシステムが要求事項に適合しているか」や「マネジメントシステムが有効に機能しているか」どうかを確認することが非常に重要です。

そのため、チェックリストを作成する際にも、有効性・適合性をチェックできる内容になっているかどうかを意識する必要があります。

要求事項に沿って作成する

チェックリストを作成する際は、要求事項の項目番号順に作成することがおすすめです。というのも、チェック漏れを防ぐというだけでなく、自社で取り組むべき順番になっているためです。

ISO27001の要求事項に沿って作成することで、内部監査で質疑応答を行う際にストーリー性をもたせられるため、対話内容を把握しやすくなりスムーズな進行が可能になります。

自社の体制に適した内容にする

要求事項との適合性の確認に注力しすぎると、自社の体制や業務内容とかけ離れたチェックリストになってしまう可能性があります。

ISO27001の要求事項は、さまざまな業種や規模、業務内容の企業が適用できるように柔軟性に優れています。そのため、チェックリストを作成する際も、適合性を確認できるようにしつつも、自社の体制や業務内容に適した内容を目指しましょう。

ISO27001（ISMS）の内部監査チェックリストのサンプル・質問例

ISO27001（ISMS）の内部監査チェックリストのサンプル・質問例を作成しました。参考にしてください。

チェックリストのサンプル

ISO27001の内部監査チェックリストのサンプルです。

内部監査の質問例

質問ごとのポイントと併せて、質問例を紹介します。監査人は、意図した回答が得られるように以下を意識して質問しましょう。

要求事項に記載されている取り組みを実施しているかどうかを確認したい場合

「Do（～していますか？）」を意識し、「はい・いいえ」という回答になる質問にします。

例えば、以下のような質問です。

• ISMSに関連する利害関係者を明確にしていますか？
• 機密性や完全性、可用性を損なう情報セキュリティリスクを特定していますか？
• リスクアセスメントの結果にもとづいて、リスク対応を選択していますか？

明確な答えがあり、その答えを把握しているかを確認したい場合

5Wである「When（いつ）・Where（どこで）・Who（誰が）・What（何を）・Why（なぜ）」を意識し、情報を引き出す回答になる質問が適しています。

例えば、以下のような質問です。

• 情報資産管理台帳の更新は、いつ行っていますか。
• パソコンのパスワードは、いつ、誰が変更していますか。

内部監査を受ける各業務部門の監査担当者の考え方や理解度を確認したい場合

「How（どのように）」を意識し、内容を「説明」してもらえる質問になるように意識しましょう。

例えば、以下のような質問です。

• 情報インシデントが発生したときの対応の手順を説明してください。
• 従業員が退職した際、組織の資産はどのようにして返却されますか。

問題点などを確認したい場合

必要に応じて現場でデモンストレーションを実施してもらうなど工夫して、問題点の発生状況や改善点などが見えるように質問してください。

例えば、以下のような質問です。

• 前回の是正処置後の設備点検の手順を、実演してください。
• 作業員により、作業時間が大きく異なる理由を教えてください。

チェックリストを活用したISO27001（ISMS）内部監査の流れ

チェックリストを活用したISO27001（ISMS）内部監査の流れを解説します。

1.内部監査の体制を構築する

まずは内部監査の体制を構築します。内部監査責任者と内部監査員を任命しましょう。

内部監査の力量が不足している場合には、事前に講習を受けさせることも検討することが必要です。

2.チェックリストを作成する

内部監査で使用するチェックリストを作成します。
この記事で紹介したようなサンプルや前回すでに内部監査を実施している場合には、前回のチェックリストも参考にすると良いでしょう。

3.内部監査の準備をする

チェックリストを作成したら、内部監査を実施するための準備を行います。
具体的には、以下の内容を決めましょう。

• 内部監査のスケジュールを決定する
• 内部監査を行う対象部門を決定する
• 内部監査の目的や方針、手順を決める
• 内部監査の担当を割り当てる

内部監査を公平性や客観性を保ったまま実施するには、事前の準備が非常に重要です。監査チーム内で、内部監査における共通認識をもてるように、目的や方針、手順を統一しておきましょう。

4.内部監査を実施する

作成したチェックリストや準備した内容をもとに、内部監査を実施します。
内部監査員、被監査部門の担当者の双方が、粗探しではなく「改善する機会」と捉えて臨みましょう。

5.監査内容を報告する

内部監査を実施したら、内部監査報告書を作成しましょう。報告書には、不適合箇所や改善点、前回の是正処置の結果などをまとめて記載してください。報告書をもとに、トップマネジメントに報告します。

6.不適合事項の改善状況を確認する

不適合事項があれば、是正処置を決めるにあたり、その方法や改善にかかる期間などを提案します。また、是正処置を策定したのちに、改善状況の確認も実施しましょう。

まとめ

この記事では、ISO27001（ISMS）の内部監査を実施する際に使用するチェックリストについて解説しました。

チェックリストを用いることで、内部監査を標準化し、チェックすべきポイントの抜け漏れを防ぐなどさまざまなメリットがあります。作成する際には、要求事項に則っているかどうかや自社の事業に適した内容になっているかどうかを確認しましょう。

適切にチェックリストを作成できているかわからないという企業の担当者は、一度プロのコンサルティング業者に相談することもおすすめです。自社のISMSの継続的改善につながるような内部監査の実施を目指しましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。